Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mobiele Dropbox-app is inzetbaar voor tweetrapsauthenticatie bij inloggen op pc

Door , 32 reacties

Dropbox heeft bekendgemaakt dat vanaf vrijdag de mobiele app kan worden ingezet als identificatiemiddel bij het inloggen op een Dropbox-account op de desktop. Het is een alternatief voor het ontvangen van sms-codes of het gebruik van codegenerators en U2F-beveiligingssleutels.

De nieuwe methode werkt via de app van Dropbox, waarin een melding verschijnt op het moment dat een gebruiker op zijn Dropbox-account op de desktop probeert in te loggen. Deze notificatie in de app vraagt in feite via een druk op de knop om goedkeuring te geven voor de inlogpoging. Zodra de gebruiker die goedkeuring geeft, wordt het inloggen voltooid.

Gebruikers die deze vorm van inloggen willen gebruiken, moeten na het invoeren van de gebruikersnaam en wachtwoord, in het venster waarin de sms-code kan worden ingevoerd, klikken op de link 'Problemen met een code ontvangen' en kiezen voor het versturen van een notificatie naar de mobiele app. Op de smartphone is dan in de app te zien op welk account een inlogpoging is gedaan en waar dat is gebeurd. Vervolgens moet er toestemming worden gegeven.

Volgens Dropbox is deze nieuwe methode om een account te ontgrendelen vooral een back-up voor als de bestaande methodes om veilig in te loggen niet werken of als onvoldoende betrouwbaar worden beschouwd. Daarnaast kan het in bepaalde situaties ook een handiger alternatief vormen om in te loggen, zoals in het vliegtuig, waar bij gebrek aan verbinding met een mobiel netwerk het ontvangen van een sms-code lastig is.

Reacties (32)

Wijzig sortering
Op die manier kan je in principe zelfs met deze 'push notification' iemand anders toegang geven (vanop afstand) tot je dropbox account als je dat zou willen.
Dat kan toch ook met iedere andere vorm van tweetraps verificatie? Je hebt nog steeds je normale login ook nodig.
Als je bvb een U2F token zou gebruiken, kan je moeilijk even iemand aan de andere kant je hardware key opsturen :)
True, maar Google authenticator of SMS werkt wel. Dus niet iedere maar bij veel vormen kan dit al.
Prima, zolang Google Authenticator maar blijft werken (en gezien het niet lijkt te gaan om een wijziging in protocol/algoritme zal dit ook wel zo zijn). Kan Steam nog wat van leren...
Dit hoop ik ook inderdaad.

Je ziet de laatste tijd wel vaker dat apps zelf iets inbouwen om 2FA te kunnen aanbieden, maar ik heb het liever in één app (in mijn geval Google Authenticator).
Er zijn ook sites waarbij ik de app niet eens gebruik. Facebook open ik via de browser https://m.facebook.com omdat de Facebook app batterij vreet en ik ook niet zit te wachten op die irritante notificaties (al kun je dat uitzetten natuurlijk).
Dus inloggen op de desktop client van dropbox, niet de pc zelf.
Als backpacker vind ik 2fa super irritant. Elke keer als ik in een ander land ben en een andere sim heb, heb ik problemen met inloggen bij veel services en websites. En vaak is er geen mogelijkheid om het uit te schakelen.

Daar sta je dan in een internetcafé om je mail te checken, maar Google wil je verifiëren via je telefoon. Terwijl die geen internet heeft...
.., maar Google wil je verifiëren via je telefoon. Terwijl die geen internet heeft...
En wat zegt Google daarvan als je er over klaagt ? Ik neem aan dat je het reeds hebt aangekaart ?
En Uber en PayPal en... en...

Laatst met Uber met veel moeite mijn account teruggekregen na het wisselen van telefoonnummer. Tis een hoop moeite om al je telefoonnummers te vervangen en nog een grotere moeite om het achteraf te fixen.

Was het niet de gedachte van de cloud om overal en altijd toegang te kunnen hebben?
Huh? TOTP (en daarmee Google Authenticator) heeft geen internetverbinding nodig.
En dat werkt voor alle 2fa diensten? Daar moet ik dan toch eens naar kijken, want zoals ik het nu heb, is het echt hoofdpijn

Edit:
Ik heb ernaar gekeken, maar ik wil gewoon kunnen inloggen met mijn wachtwoord. Waar ik zelf voor verantwoordelijk ben hoe veilig het is. Ik wil gewoon niet afhankelijk zijn van een 2e apparaat, dat ik wel of niet bij me heb.

Facebook heeft dan nog een acceptabele manier om je identiteit te checken door je te vragen om je vrienden te herkennen. Dan ben ik niet afhankelijk van een 2e apparaat.

[Reactie gewijzigd door MightyMauz op 12 augustus 2017 03:53]

Daarnaast kan het in bepaalde situaties ook een handiger alternatief vormen om in te loggen, zoals in het vliegtuig, waar bij gebrek aan verbinding met een mobiel netwerk het ontvangen van een sms-code lastig is.
Lijkt me bijzonder. Hoe weet de app of die een melding moet geven en hoe geeft hij een goedkeuring door wanneer er geen verbinding is met een (mobiel) netwerk?

In het bronartikel wordt hier ook niets over gezegd, dus de auteur heeft waarschijnlijk een slecht voorbeeld verzonnen... }>

[Reactie gewijzigd door diabolofan op 11 augustus 2017 14:56]

Waarom zou je op Dropbox in willen loggen als je geen netwerkverbinding hebt? :')
Geen verbinding met het mobiele netwerk =/= geen netwerkverbinding.

In het vliegtuig of op andere plaatsen kan wel wifi zijn maar geen mobiel netwerk om je sms'jes te ontvangen
Snap ik wel, maar uit ervaring kan ik je vertellen dat je niks aan Dropbox hebt met in flight wifi :p
Op dezelfde manier als o.a. de Google Authenticator dat ook doet, met een rolling code op basis van een Time-based One Time Password. Zie : https://tools.ietf.org/html/rfc6238
Dat lijkt dus bij deze methode niet het geval te zijn, omdat er sprake is van 'een druk op de knop' waarmee je toestemming geeft, en dus het overtypen van een gegenereerde code niet nodig is.
Ik gok er op dat het under the hood TOTP is, maar dat kan ik niet bewijzen. De Blizzard authenticator werkt in ieder geval ook zo hoewel die een push notificatie via het Internet verkrijgt of handmatig TOTP (van in dit geval 8 cijfers) geeft.
Off topic, maar, ik heb begrepen dat je in veel vliegtuigen geen laptop meer mee mag in de cabine. Dan helpt het niet zo veel om met je mobieltje in te kunnen loggen.
Geen SMS kunnen ontvangen betekent niet dat er geen internet-verbinding is, die kan oa via WiFi (van het vliegtuig bijvoorbeeld).
Als er geen internet-verbinding is hoef je ook niet in te loggen op Dropbox :P
Dat is inderdaad toch een mogelijkheid waar dit een oplossing zou zijn die met een SMS niet zou kunnen!
Leuk, maar met deze implementatie moet je toch aardig wat handelingen verrichten (zoals twee keer bevestigen) en het oogt wat traag. Volgens mij is het sneller om gewoon een OTP auth code over te typen.
Ik vind persoonlijk via een notificatie en ok inloggen wel prettig. Maar deze manier is wel een beetje omslachtig en verstopt achter een link. Als ze het zouden versimpelen en prominent op de inlogpagina de keuze bieden tussen het gebruiken van de een (Google) authenticator of de DropBox app zou dat al een verbetering zijn.
Mua, in de video zie je ook dat je eerst de notificatie krijgt, dan wordt de app geopend, krijg je een popup, dan wordt er weer een weblink geopend waarop je vervolgens op akkoord moet drukken. Moet toch wel iets simpeler kunnen lijkt mij.
Typfoutje in de eerste zin:
"De nieuwe mehode" moet zijn: "De nieuwe methode"
Er zit een feedback-knop boven het artikel, die is hiervoor bedoelt. ;)
Hier een linkje voor je: Geachte Redactie

Deze link staat bij ieder artikel onder de titel, achter de regel waar auteur, datum en tijd staan.


Om te kunnen reageren moet je ingelogd zijn


Nintendo Switch Google Pixel XL 2 LG W7 Samsung Galaxy S8 Google Pixel 2 Sony Bravia A1 OLED Microsoft Xbox One X Apple iPhone 8

© 1998 - 2017 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Hardware.Info de Persgroep Online Services B.V. Hosting door True

*